Vuokraajien välisen saapuvan ja lähtevän liikenteen rajoitukset

  • Artikkeli

Microsoft Power Platformissa on monipuolinen yhdistimien ekosysteemi, joka perustuu Microsoft Entraan. Sen avulla valtuutetut Microsoft Entra -käyttäjät voivat rakentaa mukaansatempaavia sovelluksia ja työnkulkuja, jotka muodostavat yhteyksiä näiden tietosäilöjen kautta käytössä oleviin liiketoimintatietoihin. Vuokraajan eristyksen avulla järjestelmänvalvojien on helppo varmistaa, että näitä yhdistimiä voi käyttää turvallisesti vuokraajan sisällä. Samalla minimoidaan vuokraajan ulkopuolisen tietosoluttautumisen riski. Vuokraajan eristyksen avulla yleiset järjestelmänvalvojat ja Power Platform -järjestelmänvalvojat voivat hallita tehokkaasti vuokraajatietojen siirtoa Microsoft Entra -valtuutetuista tietolähteistä vuokraajiin.

Huomaa, että vuokraajan eristys Power Platformissa on erilainen kuin koko Microsoft Entra ID -ratkaisun kattava vuokraajan rajoitus. Se ei vaikuta Microsoft Entra ID -pohjaiseen käyttöön Power Platformin ulkopuolella. Power Platform -vuokraajan eristäminen toimii vain yhdistimissä, jotka käyttävät Microsoft Entra ID -pohjaista todennusta, kuten Office 365 Outlookia tai SharePointia.

Varoitus

Azure DevOps -yhdistimessä on tunnettu ongelma, jonka vuoksi vuokraajan eristyskäytäntöä ei valvota tällä yhdistimellä muodostetuissa yhteyksissä. On suositeltavaa rajoittaa yhdistimen tai sen toimintojen käyttämistä tietokäytäntöjen avulla, jos sisäinen hyökkäysvektori on huolenaihe.

Kun oletusmääritys Power Platform -vuokraajan eristyksessä on Ei käytössä, vuokraajan väliset yhteydet voidaan muodostaa saumattomasti, jos vuokraajan A käyttäjällä, joka muodostaa yhteyden vuokraajaan B, on asianmukaiset Microsoft Entra -tunnistetiedot. Jos järjestelmänvalvoja haluaa sallia vain tietyn vuokraajajoukon muodostaa yhteyden vuokraajaan tai vuokraajasta, hän voi määrittää vuokraajan eristyksen tilaan Käytössä.

Kun vuokraajan eristys on Käytössä, kaikki vuokraajat ovat rajoitettuja. Power Platform estää saapuvat (yhteydet vuokraajaan ulkoisista vuokraajista) ja lähtevät (yhteydet vuokraajasta ulkoisiin vuokraajiin) vuokraajien väliset yhteydet, vaikka käyttäjällä olisi asianmukaiset tunnistetiedot Microsoft Entra:n suojaamaan tietolähteeseen. Voit lisätä poikkeuksia sääntöjen avulla.

Järjestelmänvalvoja voi määrittää sallittujen kohteiden luettelon vuokraajista, joille hän haluaa sallia saapuvan, lähtevän tai molemmat. Tämä ohittaa vuokraajan eristyksen ohjausobjektit, jos ne on määritetty. Järjestelmänvalvoja voi käyttää erityistä mallia *, jolla kaikki vuokraajat sallitaan tietyssä suunnassa, kun vuokraajan eristys on otettu käyttöön. Power Platform hylkää kaikki vuokraajien väliset yhteydet pois lukien ne, jotka ovat sallittujen kohteiden luettelossa.

Vuokraajan eristyksen voi määrittää Power Platform -hallintakeskuksessa. Se vaikuttaa Power Platformin pohjaan perustuviin sovelluksiin ja Power Automate -työnkulkuihin. Vuokraajan eristyksen määrittäjän on oltava vuokraajan järjestelmänvalvoja.

Power Platform -vuokraajan eristyskyky on käytettävissä kahdella tavalla: yksisuuntainen tai kaksisuuntainen rajoitus.

Ymmärrä vuokraajan eristyksen skenaariot ja vaikutukset

Ennen kuin aloitat vuokraajan eristysrajoitusten määrittämisen, tutustu seuraavaan luetteloon, jossa on tietoja vuokraajan eristyksen skenaarioista ja vaikutuksista.

  • Järjestelmänvalvoja haluaa ottaa vuokraajan eristyksen käyttöön.
  • Järjestelmänvalvoja on huolissaan siitä, että nykyiset sovellukset ja vuokraajien välisiä yhteyksiä käyttävät työnkulut lakkaavat toimimasta.
  • Järjestelmänvalvoja päättää ottaa vuokraajan eristyksen käyttöön ja lisätä poikkeussääntöjä vaikutuksen poistamiseksi.
  • Järjestelmänvalvoja suorittaa vuokraajien välisen eristyksen raportit määrittääkseen, mitkä vuokraajat jäävät tästä pois. Lisätietoja: Opetusohjelma : Vuokraajien välisen eristyksen raporttien luominen (esiversio)

Kaksisuuntainen vuokraajan eristys (saapuvan ja lähtevän yhteyden rajoitus)

Kaksisuuntainen vuokraajan eristys estää yhteyden määrittämisyritykset vuokraajaasi muista vuokraajista. Lisäksi kaksisuuntainen vuokraajan eristys estää myös yhteyden muodostamisen yritykset vuokralaiseltasi muille vuokralaisille.

Tässä skenaariossa vuokraajan järjestelmänvalvoja on ottanut käyttöön kaksisuuntaisen vuokraajan eristyksen Contoso-vuokraajassa, kun taas ulkoista Fabrikam-vuokraajaa ei ole lisätty sallittujen kohteiden luetteloon.

Käyttäjät, jotka ovat kirjautuneet Power Platformin Contoso-vuokraajassa, eivät voi määrittää lähteviä Microsoft Entra ID -pohjaisia yhteyksiä tietolähteisiin Fabrikam-vuokraajassa, vaikka heillä on asiaankuuluvat Microsoft Entra -tunnistetiedot yhteyden määrittämistä varten. Tämä on Contoso-vuokraajan lähtevän vuokraajan eristys.

Samoin käyttäjät, jotka ovat kirjautuneet Power Platformin Fabrikam-vuokraajassa, eivät voi edelleenkään määrittää saapuvia Microsoft Entra ID -pohjaisia yhteyksiä tietolähteisiin Contoso-vuokraajassa, vaikka heillä on asiaankuuluvat Microsoft Entra -tunnistetiedot yhteyden määrittämistä varten. Tämä on Contoso-vuokraajan saapuvan vuokraajan eristys.

Yhteydenluojavuokralainen Yhteyden sisäänkirjausvuokraaja Käyttö sallittu?
Contoso Contoso Kyllä
Contoso (vuokraajan eristys Käytössä) Fabrikam Ei (lähtevä)
Fabrikam Contoso (vuokraajan eristys Käytössä) Ei (saapuva)
Fabrikam Fabrikam Kyllä

Lähtevien ja saapuvien rajoittaminen vuokraajien käytössä

Muistiinpano

Vieraskäyttäjän isäntävuokraajallaan käynnistämää yhteydenmuodostusyritystä, joka kohdistuu tietolähteisiin samalla isäntävuokraajalla, ei arvioida vuokraajan eristyssääntöjen perusteella.

Vuokraajan eristys, jossa on sallittujen kohteiden luettelot

Yksisuuntainen vuokraajan eristys tai saapuva eristäminen estää yhteyden muodostamisen yritykset vuokralaiselle muista vuokralaisista.

Skenaario: Lähtevien sallittujen kohteiden luettelo – Fabrikam lisätään Contoso-vuokraajan lähtevien sallittujen kohteiden luetteloon

Tässä skenaariossa järjestelmänvalvoja lisää Fabrikam-vuokraajan lähtevien sallittujen kohteiden luetteloon, kun vuokraajan eristys on Käytössä.

Käyttäjät, jotka ovat kirjautuneet Power Platformin Contoso-vuokraajassa, voivat määrittää lähteviä Microsoft Entra ID -pohjaisia yhteyksiä tietolähteisiin Fabrikam-vuokraajassa, jos heillä on asiaankuuluvat Microsoft Entra -tunnistetiedot yhteyden määrittämistä varten. Lähtevän yhteyden määrittäminen Fabrikam-vuokraajaan sallitaan määritetyn sallittujen kohteiden luettelon merkinnän perusteella.

Toisaalta käyttäjät, jotka ovat kirjautuneet Power Platformin Fabrikam-vuokraajassa, eivät voi edelleenkään määrittää saapuvia Microsoft Entra ID -pohjaisia yhteyksiä tietolähteisiin Contoso-vuokraajassa, vaikka heillä on asiaankuuluvat Microsoft Entra -tunnistetiedot yhteyden määrittämistä varten. Saapuvan yhteyden määrittäminen Fabrikam-vuokraajasta on edelleen poissa käytöstä, vaikka sallittujen kohteiden luettelon merkintä on määritetty ja se sallii lähtevät yhteydet.

Yhteydenluojavuokralainen Yhteyden sisäänkirjausvuokraaja Käyttö sallittu?
Contoso Contoso Kyllä
Contoso (vuokraajan eristys Käytössä)
Fabrikam lisätty lähtevien sallittujen kohteiden luetteloon		 Fabrikam Kyllä
Fabrikam Contoso (vuokraajan eristys Käytössä)
Fabrikam lisätty lähtevien sallittujen kohteiden luetteloon		 Ei (saapuva)
Fabrikam Fabrikam Kyllä

Rajoita saapuva yhteys.

Skenaario: Kaksisuuntainen sallittujen kohteiden luettelo – Fabrikam lisätään Contoso-vuokraajan saapuvien ja lähtevien sallittujen kohteiden luetteloon

Tässä skenaariossa järjestelmänvalvoja lisää Fabrikam-vuokraajan sekä saapuvien että lähtevien sallittujen kohteiden luetteloon, kun vuokraajan eristys on Käytössä.

Yhteydenluojavuokralainen Yhteyden sisäänkirjausvuokraaja Käyttö sallittu?
Contoso Contoso Kyllä
Contoso (vuokraajan eristys Käytössä)
Fabrikam lisätty molempiin sallittujen kohteiden luetteloihin		 Fabrikam Kyllä
Fabrikam Contoso (vuokraajan eristys Käytössä)
Fabrikam lisätty molempiin sallittujen kohteiden luetteloihin		 Kyllä
Fabrikam Fabrikam Kyllä

Kaksisuuntaiset sallittujen kohteiden luettelot.

Ota vuokraajan eristys käyttöön ja määritä sallittujen kohteiden luettelo

Power Platform -hallintakeskuksessa vuokraajan eristys on kohdassa Käytännöt>Vuokraajan eristys.

Muistiinpano

Sinulla on oltava yleisen järjestelmänvalvojan tai Power Platform -järjestelmänvalvojan rooli, jotta voit tarkastella ja määrittää vuokraajan eristyksen käytäntöä.

Vuokraajan eristämisen käyttöönotto.

Vuokraajan eristyksen sallittujen kohteiden luettelon voi määrittää käyttämällä kohtaa Uusi vuokraajasääntö sivulla Vuokraajan eristys. Jos vuokraajan eristys on Ei Käytössä -tilassa, luetteloon voi lisätä sääntöjä ja luettelossa olevia sääntöjä voi muokata. Näitä sääntöjä ei kuitenkaan valvota ennen kuin muutat vuokraajan eristyksen tilaan Käytössä.

Uusi vuokraajasääntö säännön lisäämiseksi sallittujen kohteiden luetteloon.

Valitse avattavasta Uuden vuokraajasäännön suunta -luettelosta suunta sallittujen kohteiden luettelon merkinnälle.

Uuden vuokraajasäännön suunnan valinta.

Voit myös syöttää sallitun vuokraajan arvon joko vuokraajatoimialueena tai vuokraajatunnuksena. Tallennettu merkintä lisätään sääntöluetteloon muiden sallittujen vuokraajien mukana. Jos käytät vuokraajan toimialuetta sallittujen kohteiden luettelon merkinnän lisäämiseksi, Power Platform -hallintakeskus laskee vuokraajan tunnuksen automaattisesti.

Valitse vuokraajan toimialue tai vuokraajan tunnus uudelle vuokraajasäännölle.

Kun merkintä näkyy luettelossa, kentät Vuokraajan tunnus ja Microsoft Entra -vuokraajan nimi näytetään. Huomaa, että Microsoft Entra ID:ssä vuokraajan nimi on eri kuin vuokraajan toimialue. Vuokraajan nimi on vuokraajalle yksilöllinen, mutta vuokraajalla voi olla useita toimialuenimiä.

Uusi vuokraajasääntö näkyy sallittujen kohteiden luettelossa.

Merkkiä * voidaan käyttää erikoismerkkinä osoittamaan, että kaikki vuokraajat ovat sallittuja määritetyssä suunnassa, kun vuokraajan eristys on Käytössä.

Kaikki vuokraajat ovat sallittuja määritettyyn suuntaan, kun vuokraajan eristys on käytössä.

Voit muokata sallittujen kohteiden luettelon merkinnän suuntaa liiketoimintavaatimusten perusteella. Huomaa, että Vuokraajan toimialue tai tunnus -kenttää ei voi muokata Muokkaa vuokraajasääntöä -sivulla.

Muokkaa vuokraajasääntöä.

Voit tehdä sallittujen kohteiden luettelon toimintoja (lisäys, muokkaus, poisto), kun vuokraajan eristys on Käytössä tai Ei käytössä. Sallittujen kohteiden luettelon merkinnöillä ei ole vaikutusta yhteyden toimintaan, kun vuokraajan eristys on tilassa Ei käytössä, koska kaikki vuokraajien väliset yhteydet sallitaan.

Suunnitteluaikainen vaikutus sovelluksiin ja työnkulkuihin

Käyttäjät, jotka luovat tai muokkaavat resurssia, johon vuokraajan eristyskäytäntö vaikuttaa, näkevät liittyvän virhesanoman. Esimerkiksi Power Apps -tekijät näkevät seuraavan vihreen, kun he käyttävät sovelluksessa vuokraajien välistä yhteyttä, jonka vuokraajan eristyssäännöt estävät. Sovellus ei lisää yhteyttä.

Virhe: tiedot eivät lataudu oikein. Yritä uudelleen.

Samoin Power Automate -tekijät näkevät seuraavan vihreen, kun he yrittävät tallentaa työnkulun, joka käyttää työnkulun yhteyttä, jonka vuokraajan eristyssäännöt estävät. Itse työnkulku tallentuu, mutta se merkitään tilaan "Keskeytetty" ja sitä ei suoriteta, ellei tekijä ratkaise tietojen menetyksen estämiskäytännön (DLP) rikkomusta.

Virhe: Arvoja ei voitu hakea. Dynaaminen kutsupyyntö epäonnistui ja tuotti virheen – virheteksti.

Suorituksenaikainen vaikutus sovelluksiin ja työnkulkuihin

Järjestelmänvalvojana voit milloin tahansa muokata vuokraajan eristyksen käytäntöjä. Jos sovellukset ja työnkulut on luotu ja toteutettu aiempien vuokraajan eristyksen käytäntöjen mukaisesti, tekemäsi käytännön muutokset voivat vaikuttaa joihinkin niistä negatiivisesti. Sovellukset tai työnkulut, jotka rikkovat vuokraajan eristyksen käytäntöä, eivät toimi. Esimerkiksi Power Automatessa oleva suoritushistoria osoittaa, että työnkulun suorittaminen epäonnistui. Lisäksi virheen tiedot näkyvät, kun epäonnistunut suoritus valitaan.

Jos aiemmin luotu työnkulku ei onnistu vuokraajan eristyksen viimeisimmän käytännön vuoksi, Power Automatessa oleva suoritushistoria osoittaa, että työnkulun suorittaminen epäonnistui.

Työnkulun suorittamisen historialuettelo.

Lisäksi epäonnistuneen suorittamisen tiedot näkyvät, kun epäonnistunut työnkulun suorittaminen valitaan.

Työnkulun suorittaminsen virheen tiedot.

Muistiinpano

Kestää noin tunnin, ennen kuin uusimmat vuokraajan eristyksen käytäntömuutokset arvioidaan aktiivisia sovelluksia ja työnkulkuja vastaan. Tätä muutosta ei tehdä heti.

Tunnetut ongelmat

Azure DevOps -yhdistin käyttää Microsoft Entra -todennusta tunnistetietojen toimittaja; kuitenkin valtuutukseen ja tunnuksen myöntämiseen on käytössä oma OAuth-työnkulku ja STS. Koska kyseisen yhdistimen määritykseen perustuvasta ADO-työnkulusta palautettu tunnus ei ole Microsoft Entra ID:stä, vuokraajan eristyskäytäntöä ei käytetä. Ongelman voi ratkaista käyttämällä muun tyyppisiä tietokäytäntöjä yhdistimen tai sen toimintojen käytön rajoittamiseen.